構建企業服務之windows2008CA證書伺服器部署

專案環境：

Windows Server 2008 部署證書伺服器、IIS

Windows Server 2003 測試驗證申請證書以及訪問網站

Windows Server 2008 IP 192.168.19.100

Windows Server 2003 IP 192.168.19.125

實施目的：

通過搭建Windows Server 2008 證書伺服器以及IIS，通過證書服務，來增加網路的安全性。

部署過程：

1、 首先開啟“伺服器管理器”新增角色；如圖所示：

2、 然後選擇安裝“Active Directory 證書服務”需要注意的是雖然這裡安裝的是“Active Directory 證書服務”但是並不一定要在域環境下安裝部署。如圖：

3、 如圖是證書伺服器的簡介和安裝的一些說明以及注意事項：

4、 上圖安裝的時候是需要安裝相關的服務；如圖我們按照需求來安裝部署。

5、 然後在我們安裝的時候選擇我們部署的外掛安裝；可以根據自己公司的需求和架構來寫。

6、 然後我們在部署證書伺服器的時候選擇獨立的證書服務；企業的CA是需要在域環境下部署，因我們是工作組因此我們只能安裝獨立的CA伺服器。如圖所示：

7、 然後在CA證書型別中我們選擇獨立的根CA我們是第一次安裝部署，子級CA是在CA證書伺服器已經部署好了我們在需要部署的時候安裝選擇。如圖：

8、 建立私鑰，如果我們有私鑰的備份或者有私鑰我們選擇“使用現有私鑰”即可，我們第一次部署證書伺服器沒有私鑰我們就自己動手建立一個私鑰。如圖：

9、 既然我們新建私鑰肯定要加密了，我們就選擇系統預設的加密程式，使用預設的雜湊值。我們都可以採用預設的。當然我們在實施的時候，也可以根據不同的需求來採取不同的加密程式和雜湊演算法。

10、 然後我們選擇CA的一些需求，如圖：證書的公用名稱，可分辨的字尾名我們不填寫預設的字尾，系統會給我們自動生成，當然也可以修改。然後就是有效期的設定。

11、 如圖是證書資料庫位置和日誌的位置；如圖：

12、 如圖根據我們的需求來安裝相應的外掛。

13、 新增完我們需要的角色，如圖是我們需要安裝CA服務，我們需要記住的是：當我們安裝完之後不要修改計算機名或者IP地址。不然會出現相應的問題；如圖所示：

14、 如圖是安裝完成的介面:

15、 然後開啟伺服器管理器檢視我們是否安裝成功。如圖：（安裝CA伺服器我們最好重啟下伺服器以免有的外掛沒有生效）。

客戶端Windows Server 2003申請證書伺服器配置：

1、 在我們部署CA之前。WEB服務的搭建部署已經完成，我們直接在client上輸入www.kcc.com/certsrv。申請“客戶端證書”。我們選擇“申請證書”。我們在第一次申請時候需要注意的是，有時候IE瀏覽器安全的許可權比較高我們可以在IE安全中設定相關的選項。如圖所示：

2、 然後我們選擇“高階證書申請”如圖所示：

3、 申請“高階證書申請”之後會彈出如下的介面，我們選擇“建立並向此CA提交一個申請”，如果我們已有訂閱的或者存在的證書我們可以選擇第二個。如圖：

4、 點選申請之後我們就填寫資料就OK，在需要證書型別的這邊我們需要選擇“客戶端身份驗證證書”。在金鑰選項這一欄我們建立新金鑰；如果有建立好的金鑰我們就直接可以匯入，金鑰的用法就按照預設；還有需要我們注意的是金鑰的用法我們設定為“標記金鑰為可匯出”這在我們安全方面是很實用的。在後續我們申請證書的時候我們可以用我們匯出的證書金鑰以及相關設定。在後期我們的CA證書高階部署中我們會繼續講解。如圖所示：

5、 填完相關的資料我們選擇提交就完成了如圖所示：

6、 然後我們在回到CA證書伺服器上面檢視是否有掛機的證書；如圖我們剛才客戶機上面申請的證書，然後我們可以檢視證書的狀態，相關內容；在所有任務中我們也可“拒絕也”或者“頒發”當然我們直接可以頒發CA客戶端申請的證書。如圖：

7、 然後再客戶端我們“檢視掛起的證書申請的狀態”如圖所示：

8、 如圖是我們掛起申請證書的狀態；

9、 然後我們點選“客戶端身份驗證證書”；並且安裝此證書。然後安裝的時候會彈警告點選確定就OK如圖所示：

10、 如圖證書已經安裝完成。

11、 在Internet選項IE瀏覽器中，選擇內容“證書”來檢視下我們的證書的詳細資訊如圖：

本文轉自devilangel 51CTO部落格，原文連結：http://blog.51cto.com/devliangel/648102，如需轉載請自行聯絡原作者